整理 | 宋彤彤
責編 | 屠敏
開源吞噬世界的趨勢下,借助開源軟體,基于開源協議,任何人都可以得到專案的源代碼,加以學習、修改,甚至是重新分發,關注「開源日報」,一文速覽國內外今日的開源大事件吧!
一分鐘速覽新聞點!
- OpenSSF:缺乏資助不是開源軟體安全的唯一問題
- Log4j 2.17.1 現已發布,修復了新的遠程代碼執行漏洞
- 2022 技術趨勢預測,開源趨勢大好
- 微軟公布 Entity Framework 7.0 計劃
- 英特爾為 Linux 5.17 準備“PFRUT”,允許在不重新啟動的情況下更新系統韌體
- 英特爾 Alder Lake N 音頻支持將在 Linux 5.17 之前引入
- lamp-cloud 4.2 發布,基于 SpringBoot 實作的單體版后端工程首次發布
- ShopXO v1.1.0 發布:企業級免費開源商城系統
- Polychromatic 0.7.3 發布,支持新的 Razer 設備
- immudb:世界上最快的不可變資料庫,建立在零信任模型上
開源大新聞
OpenSSF:缺乏資助不是開源軟體安全的唯一問題
近期 Log4j 高危漏洞引發了大家對開源軟體安全問題的激烈討論,大多數人認為開源軟體的維護者主要在業余時間維護,缺乏資助,而在開源軟體安全基金會(OpenSSF)的一篇博客文章中,總經理 Brian Behlendorf 指出,缺乏資助不是開源軟體安全的唯一問題,博客概述了 OSS 基金會可以采取包括安全掃描、外部審計、依賴跟蹤、測驗框架、組織范圍的安全團隊以及要求專案洗掉舊代碼、易受攻擊的代碼這七點措施來降低安全風險,唯獨沒有提到資金,
相反,Behlendorf 在這些觀點之前說到,“太多組織未能應用籌集到的資金或制定標準流程來改進其安全實踐,只是不明智地傾向于增加數量而不是提高代碼質量,”Behlendorf 確實就資金和籌款提出了一些觀點,但他的觀點不是缺乏資金,而是這些資金的分配以及它們需要專注于付費審計和“提供資源以推動關鍵專案或將代碼段轉換為記憶體安全語言,以及為更多測驗提供獎勵”,同時他表示,在新的一年里,OpenSSF 將努力“提高”開源安全性,(Solidot、Slashdot)
Log4j 2.17.1 現已發布,修復了新的遠程代碼執行漏洞
近日,Apache 發布了另一個 Log4j 版本 2.17.1,修復了 2.17.0 中新發現的編號為 CVE-2021-44832 的遠程代碼執行(RCE)漏洞,攻擊者對原始 Log4Shell 漏洞(CVE-2021-44228)的大規模利用始于 12 月 9 日,當時 GitHub 上出現了針對該漏洞的 PoC 漏洞利用,本月已經發現了影響 Log4j 的四種不同的 CVE,在 2.16 版中發現 DoS 漏洞后,官方建議用戶迅速升級到被認為是最安全的 2.17.0 版,
但現在被追蹤為 CVE-2021-44832 的第五個 RCE 漏洞已在 2.17.0 中發現,該漏洞的嚴重性評級為“中等”,CVSS 評分為 6.6,該漏洞源于缺乏對 log4j 中 JDNI 訪問的額外控制,避免攻擊者利用漏洞侵入,Log4j 用戶應立即升級到最新版本 2.17.1(適用于 Java 8),同時修復程式的反向移植版本 2.12.4(Java 7)和 2.3.2(Java 6)預計也將很快發布,
2022 技術趨勢預測,開源趨勢大好
根據全球領先的資訊技術研究和咨詢公司 Gartner 的 2021 年開源軟體 (OSS) 技術成熟度曲線,“到 2025 年,與目前的 IT 支出相比,超過 70% 的企業將增加在 OSS 上的 IT 支出,此外,到 2025 年,軟體即服務(SaaS)將成為 OSS 的首選消費模型,因為它能提供更好的操作簡單性、安全性和可擴展性”,當談到資料庫和資料管理領域的開源時,Gartner 對整個開源的預測更加大膽和具體,早在 2019 年,Gartner 就預測資料庫的未來是云,同樣也是開源,Gartner 預測,到 2022 年,70% 以上的新內部應用程式將在開源資料庫上開發,50% 的現有專有關系型資料庫實體將被轉換或正在轉換中,(ZDNet)
微軟公布 Entity Framework 7.0 計劃
近期,微軟公布 Entity Framework 7.0 計劃,Entity Framework Core 7.0 是微軟開源、跨平臺、物件關系映射器 (ORM) 的計劃更新,它將重點關注 JSON 和 SQL 查詢等主題,據微軟近期博客來看,該更新也被稱為 EF Core 7、或 EF7,將于 2022 年 11 月發布,是繼上個月發布的 EF Core 6 之后的下一個版本,微軟表示,為 EF7 計劃的許多作業涉及對 .NET 跨不同平臺和域資料訪問體驗的改進,目前 EF7 的目標是與 .NET 6 一起使用,但未來可能會更新到計劃的 .NET 7 版本,同時微軟還表示,現階段沒有發布 EF Core 6.1 版本的計劃,(InfoWorld)
英特爾為 Linux 5.17 準備“PFRUT”,允許在不重新啟動的情況下更新系統韌體
據外媒報道,英特爾開源工程師已經為平臺韌體運行時間的更新準備了“PFRUT”支持,允許在有能力的系統上執行(U)EFI 封裝更新,而無需重新啟動系統以消除停機時間,英特爾一直致力于開發 PFRUT,它現在是 ACPI 規范的一部分,允許平臺韌體組件即時更新,而無需重新啟動系統,這樣做的目的是為了那些需要“100% 的時間可用”的服務器以及必須將停機時間保持在最低限度的情況,(Phoronix)
英特爾 Alder Lake N 音頻支持將在 Linux 5.17 之前引入
在 Linux 5.17 周期之前, 一些 Alder Lake 音頻更新將引入聲音子系統的“for-next”分支,目前,已將 Alder Lake P 的另一個變體添加到 hda_intel 驅動程式中,Alder Lake P 支持已經到位,但另一個 PCI ID 最終被引入 (0x51cd),現在 Linux 5.17 已經存在該 ID,如果需要的話,可以很容易地進行反向移植,與此同時,Alder Lake N 開始支持 Linux 5.17 的初始音頻,
Alder Lake N 支持只是添加了一個新的 PCI ID (0x54c8) ,使用基于 DSP 的 Sound Open Firmware (SOF) 驅動程式或其他系統的普通 intel_hda 驅動程式的規則,從聲音方面來說,不需要對 Alder Lake N 支持進行其他更改,英特爾還一直在準備 ADL-N 所需的 Alder Lake N 圖形支持和其他內核添加,但對成熟的 Alder Lake S 和 P 系列支持進行了非侵入性更改,英特爾的 N 系列處理器用于低功耗、低性能的賽揚/奔騰級硬體,Linux 5.17 合并視窗在 1 月份正式開放,而穩定的內核應該會在 3 月底左右發布,(Phoronix)
開源軟體專區
lamp-cloud 4.2 發布,基于 SpringBoot 實作的單體版后端工程首次發布
近日,lamp-cloud 4.2 發布,更新版本中,lamp-boot-datasource-column:基于 SpringBoot 實作的單體版后端工程首次發布;docs:基于 4.2 版本撰寫的第一版檔案首次發布;lamp-cloud-pro:優化 uri 權限相關配置;lamp-web-pro: 按鈕權限校驗支持 withoutAny 模式等,
具體詳情見:https://www.kancloud.cn/zuihou/zuihou-admin-cloud/1465302
ShopXO v1.1.0 發布:企業級免費開源商城系統
12 月 29 日,ShopXO 開源商城 v1.1.0 版本發布,據悉,ShopXO 是免費開源 B2C 商城系統,遵循 MIT 開源協議發布、基于 ThinkPHP6 框架研發,在 v1.1.0 版中,后臺管理功能串列的改進包括:優化輪播圖片與手機端分離、新增問答/留言、新增手機端管理、新增支付寶小程式(輪播、首頁導航)、調整平臺類別、新增支付寶小程式支付插件、優化部分 BUG;前端功能串列的改進包括:購物流程優化(去掉用戶選擇快遞)、優化部分 BUG;手機端的改進包括:新增支付寶小程式、支持后臺配置基礎資訊、支持后臺生成程式包,
Polychromatic 0.7.3 發布,支持新的 Razer 設備
Polychromatic 與開源社區維護的 OpenRazer 合作,支持 Linux 下的 Razer 外圍設備和其他設備,用于管理Linux 下的 RGB 照明和各種設備設定,Razer Inc. 沒有任何官方支持,在Polychromatic 0.7.3 中,為 Razer Blade 2021 Advanced 和 Razer Basilisk V3 硬體添加了設備映射,對于具有如此高輪詢率的最新 Razer 滑鼠,現在還支持高達 8000Hz 的輪詢率,Polychromatic 0.7.3 還有一個可能的崩潰修復、改進的故障排除檢查和其他更改,
具體詳情見:https://github.com/polychromatic/polychromatic/releases/tag/v0.7.3
開源工具推薦
immudb :世界上最快的不可變資料庫,建立在零信任模型上
immudb 是一個內置密碼證明和驗證的資料庫,它跟蹤敏感資料的變化,客戶端保護歷史記錄的完整性,無需信任資料庫,它既可以用作鍵值存盤,也可以用作關系資料庫 (SQL),傳統的資料庫事務和日志是可變的,因此無法確定用戶的資料是否已被泄露,但 immudb 是不可變的,用戶可以添加現有記錄的新版本,而不會更改或洗掉記錄,
immudb 存盤的資料在密碼學上是一致且可驗證的,與區塊鏈不同,immudb 每秒可以處理數百萬筆交易,并且既可以用作輕量級服務,也可以作為庫嵌入到您的應用程式中,immudb 可以在任何地方運行,可以在 IoT 設備、筆記本、服務器、內部部署或云中運行;它也可用作鍵值存盤或關系資料結構,并支持事務和 blob,因此對用例沒有限制,公司可以使用 immudb 來保護和防篡改的日志資料、傳感器資料、敏感資料、交易、軟體構建配方、規則庫資料,甚至工件甚至視頻流,
GitHub 地址:https://github.com/codenotary/immudb
【歡迎投稿】原始碼面前,了無秘密,大家還有哪些推薦的開源工具或者開源軟體,亦或是想了解的開源資訊,可以投稿至郵箱:tumin@csdn.net,開源世界的一切,由你我共同創造!
你參與開源有多長時間了?是否通過開源獲得過收入?對親身經歷的開源世界有什么樣的看法?
歡迎參與 CSDN 重磅推出的《2021 中國開源開發者年度有獎大調查》活動,驚喜禮品等你拿!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/397350.html
標籤:其他